Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de permisos para usar Barreras de protección para Amazon Bedrock
Para configurar un rol con permisos para barandas, cree un rol de IAM y adjunte los siguientes permisos siguiendo los pasos que se indican en [Crear un rol para delegar permisos a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) un servicio. AWS
Si utiliza barreras de protección con un agente, asocie los permisos a un rol de servicio con permisos para crear y administrar agentes. Puede configurar este rol en la consola o crear un rol personalizado siguiendo los pasos que se indican en [Creación de un rol de servicio para los agentes de Amazon Bedrock](agents-permissions.md).
## Permisos para crear y administrar barreras de protección para el rol de la política
Añada la siguiente instrucción al campo `Statement` de la política para que su rol utilice barreras de protección.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}
```
------
## Permisos para invocar las barreras de protección para filtrar el contenido
Agregue la siguiente instrucción al campo `Statement` de la política del rol para permitir la inferencia del modelo e invocar barreras de protección.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
------
# Permisos para políticas de razonamiento automatizado con ApplyGuardrail
Cuando utilice políticas de razonamiento automatizado con la API `ApplyGuardrail`, necesitará una política de IAM que le permita invocar la política de razonamiento automatizado.
```
{
"Sid": "AutomatedReasoningChecks",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAutomatedReasoningPolicy"
],
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
```
Esta política le permite invocar la política de razonamiento automatizado especificada en su cuenta.
# Permisos para políticas de razonamiento automatizado con agentes
Al crear un agente en Amazon Bedrock, la función de servicio del agente incluye automáticamente políticas para invocar barandas (`bedrock:ApplyGuardrail`) y modelos de base. Para adjuntar a su agente una barrera que incluya una política de razonamiento automatizado, añada manualmente los permisos a la función de servicio del agente.
Actualice la `AmazonBedrockAgentBedrockApplyGuardrailPolicy` política sobre la función de servicio de su agente para incluir la `bedrock:GetGuardrail` acción y el acceso a los perfiles de protección. A continuación, añada una declaración independiente que otorgue la `bedrock:InvokeAutomatedReasoningPolicy` acción a su recurso de política de razonamiento automatizado.
El siguiente ejemplo muestra la lista completa de declaraciones:
```
"Statement": [
{
"Sid": "AmazonBedrockAgentBedrockApplyGuardrailPolicyProd",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": [
"arn:aws:bedrock:region:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:*:account-id:guardrail-profile/*"
]
},
{
"Sid": "InvokeAutomatedReasoningPolicyProd",
"Effect": "Allow",
"Action": "bedrock:InvokeAutomatedReasoningPolicy",
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
]
```
**nota**
No es necesario modificar la función de servicio existente `AmazonBedrockAgentBedrockFoundationModelPolicy` en el agente. Solo lo `AmazonBedrockAgentBedrockApplyGuardrailPolicy` que requiere los cambios descritos anteriormente.
# (Opcional) Cree una clave administrada por el cliente para la barrera de protección para disponer de mayor seguridad
Cifra sus barandas con la función gestionada por el cliente. AWS KMS keys Cualquier usuario con `CreateKey` permisos puede crear claves gestionadas por el cliente mediante la consola o la AWS Key Management Service operación (AWS KMS). [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) En estas situaciones, asegúrese de crear una clave de cifrado simétrica.
Tras crear la clave, configure las siguientes políticas de permisos.
1. Haga lo siguiente para crear una política basada en recursos:
1. [Cree una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) para crear una política basada en recursos para la clave de KMS.
1. Agregue las siguientes instrucciones de la política para conceder permisos a los usuarios de barreras de protección y a los creadores de barreras de protección. Sustituya cada `role` por el rol al que desee permitir que lleve a cabo las acciones especificadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy",
"Statement": [
{
"Sid": "PermissionsForGuardrailsCreators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "PermissionsForGuardrailsUsers",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
1. Asocie la siguiente política basada en identidades a un rol para permitirle crear y administrar barreras de protección. Sustituya el `key-id` por el ID de la clave de KMS que ha creado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToCreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Asocie la siguiente política basada en identidades a un rol para que pueda usar la barrera de protección cifrada durante la inferencia del modelo o al invocar a un agente. Sustituya el `key-id` por el ID de la clave de KMS que ha creado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
# Aplicación del uso de barreras de protección específicas en solicitudes de inferencia de modelos
Puede imponer el uso de una barrera de protección específica para la inferencia de modelos incluyendo la clave de condición `bedrock:GuardrailIdentifier` en su política de IAM. Esto le permite denegar cualquier solicitud de API de inferencia que no incluya la barrera de protección configurada en su política de IAM.
Puede aplicar esta aplicación para la siguiente inferencia APIs:
+ [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
+ [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)
+ [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)
+ [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)
A continuación, se incluyen ejemplos de algunas formas de utilizar la clave de condición `bedrock:GuardrailIdentifier`.
**Ejemplo 1: Aplicación del uso de una barrera de protección específica y su versión numérica**
Utilice la siguiente política para imponer el uso de una barrera de protección específica (`guardrail-id`) y su versión numérica 1 durante la inferencia del modelo.
Esta denegación explícita impide que el usuario realice las acciones enumeradas con cualquier otro `GuardrailIdentifier` y versión de la barrera de protección, independientemente de los demás permisos que tenga el usuario.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Ejemplo 2: Aplicación del uso de una barrera de protección específica y su versión DRAFT**
Utilice la siguiente política para imponer el uso de una barrera de protección específica (`guardrail-id`) y su versión DRAFT durante la inferencia del modelo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Ejemplo 3: Aplicación del uso de una barrera de protección específica y cualquiera de sus versiones numéricas**
Utilice la siguiente política para imponer el uso de una barrera de protección específica (`guardrail-id`) y cualquiera de sus versiones numéricas durante la inferencia del modelo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Ejemplo 4: Aplicación del uso de una barrera de protección específica y cualquiera de sus versiones**
Utilice la siguiente política para imponer el uso de una barrera de protección específica (`guardrail-id`) y cualquiera de sus versiones numéricas (incluida la versión DRAFT) durante la inferencia del modelo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Ejemplo 5: Aplicación del uso de pares de barrera de protección específica y versión**
Utilice la siguiente política para permitir la inferencia de modelos únicamente para un conjunto de barreras de protección y sus versiones respectivas.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
]
}
```
**Limitaciones**
Si un usuario asume un rol de IAM que tiene una barrera de protección específica configurada mediante la clave de condición `bedrock:GuardrailIdentifier`:
+ Un usuario no debe usar el mismo rol con permisos adicionales para invocar a Bedrock APIs `RetrieveAndGenerate` y `InvokeAgent` realizar `InvokeModel` llamadas en nombre del usuario. Esto puede provocar errores de acceso denegado incluso cuando la barrera de protección esté especificada en la solicitud, ya que `RetrieveAndGenerate` e `InvokeAgent` hacen múltiples llamadas a `InvokeModel` y algunas de estas llamadas no incluyen una barrera de protección.
+ Un usuario puede omitir la aplicación de una barrera de protección en su petición mediante el uso de [etiquetas de entrada de barrera de protección](guardrails-tagging.md). Sin embargo, la barrera de protección siempre se aplica a la respuesta.
+ Dado que Barreras de protección para Amazon Bedrock no admite actualmente políticas basadas en recursos para el acceso entre cuentas, su barrera de protección debe estar en la misma Cuenta de AWS que el rol de IAM que realiza la solicitud.
# Permisos para usar la inferencia entre regiones con Barreras de protección para Amazon Bedrock
El uso de la [inferencia entre regiones](guardrails-cross-region.md) con Barreras de protección para Amazon Bedrock requiere añadir permisos específicos a su rol de IAM, incluido el acceso a los perfiles de barrera de protección en otras regiones.
## Permisos para crear y administrar barreras de protección para la inferencia entre regiones
Utilice la siguiente política de IAM para [crear](guardrails-components.md), [ver](guardrails-view.md), [modificar](guardrails-edit.md) y [eliminar](guardrails-delete.md) una barrera de protección que utilice un perfil de barrera de protección específico. Solo necesita estos permisos para llamar a un [punto de conexión del plano de control de Amazon Bedrock](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:UpdateGuardrail",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/*",
"arn:aws:bedrock:us-east-1:123456789012:guardrail-profile/guardrail-profile-id"
]
}
]
}
```
------
## Permisos para invocar barreras de protección con inferencia entre regiones
Al invocar una barrera de protección con inferencia entre regiones, necesita una política de IAM que especifique las regiones de destino definidas en su perfil de barrera de protección.
```
{
"Effect": "Allow",
"Action": ["bedrock:ApplyGuardrail"],
"Resource": [
"arn:aws:bedrock:us-east-1:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:us-east-1:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-east-2:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-west-2:account-id:guardrail-profile/us.guardrail.v1:0"
]
}
```
Esta política de ejemplo especifica los siguientes recursos:
+ La barrera de protección que está invocando en la región de origen (en este caso, `us-east-1`).
+ Las regiones de destino definidas en el perfil de barrera de protección que está utilizando (en este caso, `us.guardrail.v1:0`). Para obtener información sobre las regiones de destino que debe especificar en su política, consulte los [perfiles de barrera de protección disponibles](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-cross-region-support.html#available-guardrail-profiles).
# Uso de políticas basadas en recursos para barandas
**nota**
El uso de políticas basadas en recursos para Amazon Bedrock Guardrails está en versión preliminar y está sujeto a cambios.
Guardrails admite políticas basadas en recursos para barandas y perfiles de inferencia de barandas. Las políticas basadas en recursos permiten definir los permisos de acceso al especificar quién tiene acceso a cada recurso y las acciones que puede realizar en cada recurso.
Puede adjuntar una política basada en recursos (RBP) a los recursos de Guardrails (barandilla o perfil de inferencia de barandillas). [En esta política, se especifican los permisos para los responsables de Identity and Access Management (IAM) que pueden realizar acciones específicas en estos recursos.](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) Por ejemplo, la política adjunta a una barandilla contendrá permisos para aplicar la barandilla o leer la configuración de la barandilla.
Se recomienda utilizar políticas basadas en recursos para las barandillas reforzadas a nivel de cuenta, y son obligatorias para el uso de las barandillas obligatorias a nivel de la organización, ya que para las barandillas obligatorias organizativas, las cuentas de los miembros deben aplicar una barrera de protección que exista en la cuenta del administrador de la organización. Para usar una barandilla en una cuenta diferente, la identidad de la persona que llama debe tener permiso para llamar a la `bedrock:ApplyGuardrail` API desde la barandilla, y la barandilla debe tener adjunta una política basada en recursos que otorgue permiso a la persona que llama. [Para obtener más información, consulte Lógica de evaluación de políticas [multicuentas y Políticas basadas en la identidad y las políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html).](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)
RBPs se adjuntan desde la página de detalles de las barandillas. Si la barandilla tiene habilitada la función de inferencia entre regiones (CRIS), la persona que llama también debe tener `ApplyGuardrail` permiso para acceder a todos los objetos del perfil de la región de destino asociados a ese guardrail-owner-account perfil y, a su vez, debe estar conectada a los perfiles. RBPs Para obtener más información, consulte [Permisos para usar la inferencia entre regiones con Barreras de protección para Amazon Bedrock](guardrail-profiles-permissions.md). Se puede acceder a las páginas de detalles de los perfiles desde la sección «Perfiles de barandillas definidos por el sistema» del panel de control de las barandillas y desde allí se accede a ellas. RBPs
En el caso de las barandillas obligatorias (ya sea a nivel de organización o de cuenta), todas las personas que llamen a Bedrock Invoke o Converse y que no tengan permiso para llamar a esa barandilla empezarán a ver APIs que sus llamadas fallan, salvo una excepción. `AccessDenied` Por este motivo, se recomienda encarecidamente comprobar que se puede llamar a la [ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API de la barandilla desde las identidades que la utilizarán, en las cuentas en las que se aplicará, antes de crear una configuración de barandilla forzada por la organización o la cuenta.
El lenguaje de políticas permitido para las políticas basadas en recursos de barandillas y perfiles de protección está restringido actualmente y solo admite un conjunto limitado de declaraciones de políticas.
## Patrones de declaración de políticas compatibles
### Comparte Guardrail dentro de tu propia cuenta
`account-id`debe ser la cuenta que contiene la barandilla.
**Política para una barandilla:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
}]
}
```
------
**Política para un perfil de barandilla:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
}]
}
```
------
### Comparta la barandilla con su organización
`account-id`debe coincidir con la cuenta desde la que está adjuntando el RBP y en la que debe estar dicha cuenta. `org-id`
**Política para una barandilla:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:GetGuardrail",
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
**Política para un perfil de barandilla:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
### Comparta la barandilla con un OUs
`account-id`debe coincidir con la cuenta desde la que está adjuntando el RBP y en la que debe estar dicha cuenta. `org-id`
**Política para una barandilla:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
**Política para un perfil de barandilla:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
## Características no admitidas
Guardrails no admite el uso compartido fuera de su organización.
Guardrails no es compatible RBPs con condiciones distintas a las enumeradas anteriormente en o. `PrincipalOrgId` `PrincipalOrgPaths`
Guardrails no admite el uso de un `*` director sin una condición de organización o unidad organizativa.
Guardrails solo admite las acciones y las `bedrock:ApplyGuardrail` acciones internas. `bedrock:GetGuardrail` RBPs Solo se admite en el caso de los recursos de perfil de guardrail. `ApplyGuardrail`